Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)
Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«.Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.
Elternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.
Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.
Verantwortliche müssen Betroffene über ihr Beschwerderecht bei einer Datenschutzaufsicht hinweisen. Das ist in den Artikeln 12 bis 14 DSGVO für die Informationspflicht wie für die Auskunftspflicht geregelt.
Beim Abfassen von Vorlagen stellen sich damit zwei Fragen: Genügt der allgemeine Hinweis – oder muss die zuständige Aufsicht benannt werden? Und gibt es hier Unterschiede in der Rechtslage zwischen der DSGVO und kirchlichem Recht?
Kirchliche Social-Media-Guidelines stehen nicht im besten Ruf. Die kontroverse Debatte um den Augsburger Social-Media-Codex von 2017, der Bistumsmitarbeitenden umfassende Regeln bis ins Privatleben auferlegte, dürfte einigen noch in Erinnerung sein.
Taufregister sind für die Ewigkeit – wie das Taufsakrament. Auch nach einem Kirchenaustritt bleibt der Eintrag in den Kirchenbüchern erhalten. Das ist konfliktträchtig: Die Frage, ob das »Recht auf Vergessenwerden« auch für die kirchlichen Matrikel gilt, sorgt immer wieder für Konflikte und Unverständnis, wenn entsprechende Löschbegehren abgelehnt werden. Und das werden sie immer.
Tatsächlich findet sich in der Datenschutzgrundverordnung keine besondere Ausnahme für Kirchenbücher. Dennoch zieht sich durch die Rechtsprechung die Tendenz, dass nicht von einem Löschanspruch ausgegangen wird. Ein Blick in einschlägige Fälle aus verschiedenen EU-Mitgliedstaaten und zum theologischen Hintergrund zeigt, dass die Hoffnung, den eigenen Tauchbuch-Eintrag löschen zu lassen, wohl nicht erfüllt wird.
Auch Kinder und Jugendliche haben ein Recht auf informationelle Selbstbestimmung – und manchmal muss das auch gegen die Eltern durchgesetzt werden. Vor genau so einem Fall stand Kerstin Fuchs, die Geschäftsführerin des Wiesbadener Jugendhilfezentrums Johannesstift: Ein Vater wollte für seine Tochter Auskunftsrechte geltend machen und auch in höchstpersönliche Therapieunterlagen Einblick nehmen – gegen den Willen der damals Fünfzehnjährigen. Für das Johannesstift war klar: So geht es nicht. Die Datenschutzaufsicht gab der Einrichtung zwar recht, doch der Vater klagte vor dem Interdiözesanen Datenschutzgericht. Dort erzielte das Johannesstift einen Erfolg auf ganzer Linie – die Entscheidung wurde hier bereits ausführlich besprochen.
Kerstin Fuchs ist Geschäftsführerin des Johannesstifts und in der Geschäftsführung für den Datenschutz zuständig. (Bildquelle: Johannesstift)
In seinem Leitbild hat das Johannesstift festgehalten, dass »Solidarität mit den Schwachen, Kultur der Partizipation, Toleranz gegenüber Weltanschauungen, die die Freiheitsrechte anderer nicht verletzen, und Gerechtigkeit für diejenigen, die Benachteiligungen erlitten haben« das Wirken der Einrichtung prägen. Im Interview berichtet Geschäftsführerin Kerstin Fuchs, warum in ihrer Einrichtung Datenschutz Chefsache ist, wie ein Verfahren vor dem IDSG abläuft – und wie man die Bedürfnisse und Rechte von Kindern und Jugendlichen in der Jugendhilfe berücksichtigt.
Kaum eine Einrichtung dürfte ohne Auftragsverarbeitung auskommen: Das Hosting der eigenen Webseite, IT- und Versand-Dienstleistungen und andere Verarbeitungen werden meist extern gelöst. Um das rechtskonform abzubilden, braucht es in der Regel einen Auftragsverarbeitungsvertrag. Viele Dienstleister haben auch schon fertige Musterverträge. Aber schon im Geltungsbereich der DSGVO sind die oft nicht vollständig und korrekt – im kirchlichen Bereich kommt erschwerend dazu, dass Musterverträge selten auf die Existenz anderer Rechtsordnungen und Aufsichtsregime als nach der DSGVO Rücksicht nehmen, und allein mit dem Verweis ist es auch nicht getan.
Für die Prüfung von DSGVO-Auftragsverarbeitungsverträgen hat die Berliner Landesdatenschutzaufsicht eine ausführliche und detaillierte Checkliste nebst Ausfüllhinweisen veröffentlicht. Bevor man damit aber Auftragsverarbeitungen im kirchlichen Bereich prüfen oder gestalten kann, braucht es viel Arbeit: Die entsprechenden Paragraphen im KDG und im DSG-EKD sind teils sehr unterschiedlich aufgebaut – und dazu kommen Besonderheiten, die es nur in den kirchlichen Gesetzen gibt. Hier hilft eine KDG- und DSG-EKD-Synopse zur Berliner Checkliste.
Vor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.
Das Avicenna-Studienwerk ist das jüngste der 13 vom Bundesministerium für Bildung und Forschung anerkannten Begabtenförderungswerke in Deutschland. Es fördert begabte und gesellschaftlich engagierte muslimische Studierende und Doktoranden aller Fachrichtungen durch die Vergabe von Stipendien. (Bildquelle: Screenshot Avicenna-Studienwerk)
»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.
Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.
Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.
Michael Medla (28) ist Jurist und seit 2021 Diözesanleiter des Bundes der Deutschen Katholischen Jugend und des Bischöflichen Jugendamtes im Bistum Rottenburg-Stuttgart. Im Diözesanverband ist er unter anderem für das Thema Digitalisierung zuständig. Im Interview berichtet er davon, welchen Stellenwert Datenschutz in der Jugendarbeit hat und wie die Jugendarbeit in Rottenburg-Stuttgart mit einer eigenen Cloud unabhängig von großen Konzernen und kostenlosen, aber wenig datenschutzfreundlichen Tools werden will. Der Start ist schon für dieses Jahr nach der Sommerpause geplant.
Michael Medla wurde 2020 zum BDKJ-Diözesanleiter in Rottenburg-Stuttgart gewählt und ist seit 2021 im Amt.Weiterlesen →
Geldbußen waren das Aufregerthema, als das neue Datenschutzrecht wirksam wurde. Mittlerweile ist es um die Bußgelder stiller geworden – vor allem, was die befürchtete Breitenwirkung angeht. Kaum ein kleines Unternehmen, kaum ein kleiner Verein wird gebußt.
Mit den neuen Richtlinien des Europäischen Datenschutzausschusses zur Ermittlung der Bußgeldhöhe kommt das Thema nun wieder etwas stärker auf die Agenda. Im kirchlichen Datenschutz gibt es solche Leitplanken bislang nicht – aber auch hier ist die Angst vor dem Bußgeld groß. Der Blick in die Gesetze und in die Praxis der Aufsichten kann aber beruhigen.
